Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Quando si archiviano i dati in un bucket S3, è possibile che il bucket sia esposto a problemi "confused deputy". Ciò può lasciare dati come i parchi istanze elastici, i blocchi app, gli script di configurazione, le icone delle applicazioni e gli script di sessione vulnerabili a operazioni da parte di utenti malintenzionati.
Per evitare problemi "confused deputy", puoi specificare la condizione aws:SourceAccount o aws:SourceArn nella policy del bucket di Amazon S3 per. ELASTIC-FLEET-EXAMPLE-BUCKET
Le policy delle risorse riportate di seguito mostrano come evitare problemi "confused deputy" con una delle seguenti soluzioni:
-
Poi
aws:SourceAccountcon l'ID del tuo account AWS -
La chiave di contesto delle condizioni globali
aws:SourceArn
AppStream La versione 2.0 attualmente non supporta la prevenzione confusa delle icone delle applicazioni. Il servizio supporta solo file VHD e script di configurazione. Se tenti di aggiungere ulteriori condizioni per le icone delle applicazioni, queste non verranno visualizzate dagli utenti finali.
Nell'esempio seguente, la policy bucket consente l'accesso ELASTIC_FLEET_EXAMPLE_BUCKET solo alle risorse della flotta Elastic AppStream 2.0 presenti nell'account del proprietario.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*", "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "your Account AWS ID" } } }, { "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*" } ] }
È inoltre possibile utilizzare la condizione aws:SourceArn per limitare l'accesso alle risorse per risorse specifiche.
Nota
Se conosci l'ARN completo di una risorsa o vuoi specificare più risorse, usa la chiave di contesto delle condizioni globali aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell'ARN.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*", "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:{aws-partition}:appstream:{your region name}:{your AWS account ID}:app-block/*" } } }, { "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*" } ] }
Puoi utilizzare le condizioni aws:SourceArn e aws:SourceAccount per limitare l'accesso alle risorse per risorse specifiche.
Nota
Se conosci l'ARN completo di una risorsa o se vuoi specificare più risorse, usa la chiave di contesto delle condizioni globali aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell'ARN.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*", "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*" ], "Condition": { "ArnLike": { "aws:SourceArn": "arn:{aws partition}:appstream:{your region name}:{your AWS account ID}:app-block/*" }, "StringEquals": { "aws:SourceAccount": "your AWS account ID" } } }, { "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream", "Effect": "Allow", "Principal": { "Service": "appstream.amazonaws.com" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*" } ] }
